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@ Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk 

® Verfahren zum abgesicherten Zugriff auf Daten in ei- 
nem Netzwerk mit einem Informationscenter (3) und 
mehreren Daten raum-Zug riff ssystemen (1, 2), bei dem al- 
lein ein Inhaber von Rechten an zu speichernden Daten 
das Speichern dieser Daten erlauben und die Zugriffs- 
rechte Dritter auf diese Daten in dem Informationscenter 
(3) definieren kann, dadurch gekennzeichnet, daS 

- die Daten jeweils nur einmal in einem der dem Inhaber 
der Rechte nicht zuganglichen Daten raum-Zug riff ssyste- 
me (1, 2) gespeichert werden, 

- das Informationscenter (3) das Vorhandensein von Da- 
ten eines bestimmten Typs in jedem Datenraum-Zugriffs- 
system (1) registriert, wonach der Inhaber der Rechte an 
den gespeicherten Daten in dem Informationscenter (3) 
Zugriffsrechte Dritter auf die Daten zu definieren vermag, 

- das Informationscenter (3) nach einer Anfrage eines an- 
fragenden Datenraum-Zugriffssystems (2) nach Daten ei- 
nes bestimmten Typs eine Liste der vorhandenen Daten 
dieses bestimmten Typs unter Angabe des diese Daten je- 
weils speichernden Datenraum-Zugriffssystems (1) an 
das anfragende Datenraum-Zugriffssystems (2) Ciber- 
tragt, fur die die Zugriffsrechte des anfragenden Daten- 
raum-Zugriffssystems (2) zu den im Informationscenter 
(3) fur diese Daten definierten Zugriffsrechten korrespon- 
dieren, und 

- die Daten des bestimmten Typs von dem diese Daten 
speichernden Datenraum-Zugriffssystem (1) direktnuran 
das anfragende Datenraum-Zugriffssystem (2) ubertra- 
gen werden, wenn das diese Daten speichernde Daten- 
raum-Zugriffssystem (1) von dem Informationscenter (3) 
eine Bestatigung erhalten hat. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zum abgesicherten 
Zugriff auf Daten in einem Netzwerk mil einem Informati- 
onscenter und mehreren Datenraum-Zugriffssystemen nach 
dem Oberbegriff des Paientanpruchs 1. Unter dem Begriff 
Datenraum-Zugriffssystem soil dabei eine Einrichtung ver- 
standen werden, die Speicherplatz (Datenraum) zur Verfii- 
gung stellt und den Zugriff auf gespeicherte Daten ermog- 
licht. 

In der nahen Zukunft sollen fur unterschiedliche Interes- 
sengruppen eines offentlichen oder privaten Sektors bei- 
spielsweise im Gesundheitswesen, etwa fur die Krankenkas- 
sen, das Gesundheitsministerium und medizinische Zusam- 
menschliisse, die sogenannten "Praxisnetze" entwickelt 
werden. Der Grundgedanke dieser Praxisnetze ist es, daB 
aufgrund einer besseren Kommunikauon zwischen unter- 
schiedlichen Arztpraxen und/oder Krankenhausern zur Zeit 
haufig noch redundant ausgefuhrte medizinische Untersu- 
chungen reduziert werden konnen. In diesem Sinne ware es 
z. B. nicht notig, ein weiteres Rontgenbild einer Lunge eines 
Patienten zu erstellen, wenn eine erneute Diagnose z. B. ei- 
nes anderen Arztes unter Zuhilfenahme eines leicht zugang- 
lichen kiirzlich aufgenommenen Rdntgenbildes der Lunge 
dieses Patienten moglich ware. Es Iiegt im offentlichen In- 
teresse und dem der Versicherungsgesellschaften, die Ge- 
sundheitskosten zu reduzieren, weswegen insbesondere 
letztere autonome medizinische Netzwerke aufbauen mbch- 
ten, mit deren Hilfe unterschiedliche Arzte eines Patienten 
zu seiner besseren und kostengiinstigeren medizinischen 
Versorgung auch auf die bereits von ihren Kollegen erstell- 
ten Daten dieses Patienten zugreifen konnen. 

Bei heute schon aufgebauten Versuchsmodellen besteht 
das Hauptproblem darin, eine sichere Kommunikation zu 
gewahrleisten. Es sind unterschiedliche Losungen der Ver- 
bindung eines Arztes zu medizinischen Einheiten bekannt, 
die hauptsachlich auf eine bestimmte Gruppe von Arzten 
begrenzt sind, z. B. die Radiologen, wobei naturgemaB eine 
Beschrankung auf eine spezielle Art der Information/Daten 
vorgegeben ist, z. B. Rontgenaufnahmen. 

Es existieren schon einige nationale und internationale 
Standards, die die Art der Erzeugung und Ubertragung von 
medizinischen Daten definieren, z. B. DICOM fur Rontgen- 
aufnahmen, BDT fur die Daten eines Patienten, GDT fur 
medizinische Daten, die von medizinischen Geraten erzeugt 
wurden, z. B. von einem Elektrokardiographen oder anderen 
Einrichtungen. Hierbei werden hinsichtlich der abgesicher- 
ten Ubertragung von medizinischen Daten keine speziellen 
Anforderungen gestellt, da dies aufgrund unterschiedlicher 
bekannter Verschliisselungsmechanismen heute kein Pro- 
blem mehr ist. 

Eine besondere Aufgabe bei der Ubertragung von medizi- 
nischen Daten ist es, die individuellen Personlichkeitsrechte 
des Patienten zu gewahrleisten. Die heute praktizierte Uber- 
tragung von medizinischen Informationen ist immer dann il- : 
legal, wenn sie nicht auf eine abgeschlossene medizinische 
Gruppe wie z. B . ein Krankenhaus oder eine Arztpraxis be- 
grenzt ist. Ein Praxisnetz mit hunderten verschiedener Pra- 
xen und Krankenhausern als abgeschlossene Gruppe zu be- 
zeichnen ware im rechtlichen Sinne wohl als eine Umge- < 
hung der Personlichkeitsrechte von Patienten zu interpretie- 
ren. In diesem Fall hatte ein Patient keine Moglichkeit, alle 
Gruppenmitglieder zu kennen, und konnte von seinem 
Recht der Auswahl einer anderen Gruppe, wie z. B. eines 
anderen Krankenhauses, kaum Gebrauch machen. < 

Zu der durch den Wunsch nach mdglichst umfassenden 
Praxisnetzen einerseits und dem Schutz von Personlich- 
keitsrechten andererseits gegebenen Problematik sind eine 
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Vielzahl von Verorfentlichungen erschienen. 

So wird beispielsweise in einer im Auftrag vom Bundes- 
ministerium fur Bildung, Wissenschaft, Forschung und 
Technologie in Zusammenarbeit mit dem Bundesministe- 
5 rium fiir Gesundheit von der Unternehmensberatung Roland 
Berger & Partner GmbH in Munchen im Januar 1998 her- 
ausgegebenen Studie angeregt, dem Hausarzt die Rolle ei- 
nes Treuhanders fur Palientendaten zuzuweisen, urn eine 
dringend benougte "Gesundheitsplattform" mit moglichst 
io einheitlichen Standards aufbauen zu konnen. 

In einem in J. Michaelis, G. Hommel, S. Wellek (Hrsg.) 
Europaische Perspektiven der Medizinischen Informatik, 
Biometrie und Epidemiologic, MMV Medizin Verlag, Mun- 
chen 1993, Seiten 371-374, erschienenen Aufsatz von 
15 Klaus Pomerening, Insutut fur Medizinische Statistik und 
Dokumentation der Johannes-Gutenberg-Universitat Mainz: 
"Ein Sicherheitskonzept fiir klinische Anwendungssysteme" 
wird ein mehrstufiges Verschliisselungs verfahren mit abge- 
stufter Zugriffsregelung beschrieben, das neben der online- 
20 Verschliisselung von Daten auch die Moglichkeit zur kryp- 
tographischen Signatur von Dokumenten (z. B. von Thera- 
pieverodnungen durch den Arzt) bietet. Der einzelne Benut- 
zer braucht dazu eine vertrauenswiirdige Ablage (PSE = 
personal secure environment) fur seine personlichen Schliis- 

25 sel zur Chiffrierung und Dechiffrierung der Daten und zur 
kryptographischen Signatur. Im Idealfall sollte dieses PSE 
durch eine person liche Chipkarte fur jeden Benutzer rea6- 
siert werden. Solange passende Chipkarten technisch nicht 
verfugbar sind, werden sie durch personliche Disketten si- 

30 muliert. Eine solche ist ihrerseits, um MiBbrauchsmoglich- 
keiten einzudammen, durch eine 'PIN' verschliisselt, die 
dem Benutzer als PaBwort zugeordnet ist und die er bei der 
Anmeldung eingeben muB. Der Benutzer selbst braucht sich 
nur diese PIN zu merken; alle ubrigen Informationen wer- 
35 den der Chipkarte oder Diskette entnommen und vom Sy- 
stem automatisch umgesetzt. 

SchlieBlich wird im 14. Tatigkeitsbericht des Hamburgi- 
schen Datenschutzbeauftragten (Berichtszeitraum 1995) 
darauf hinge wiesen, daB bei Datenzugriffssystemen der obi- 
40 gen Art eine ausreichende Datenschutzanforderung nicht 
realisiert werden kann, da Zugriffsrechte durch das Berech- 
dgungskonzept nicht terminalbezogen vergeben werden 
konnen. 

Demnach liegt der Erfindung die Aufgabe zugrunde, ein 
45 Verfahren zum abgesicherten Zugriff auf Daten in einem 
Netzwerk anzugeben, bei dem nur der Inhaber der Rechte an 
den Daten frei iiber diese verfugen kann. 

Ein solches Verfahren ist im Patentanspruch 1 angegeben. 
Vorteilhafte Weiterbildungen dieses Verfahrens finden sich 
in den Unteranspriichen 2 bis 23. 

Nach dem erfindungsgemaBen Verfahren kann allein der 
Inhaber der Rechte an bestimmten Daten Zugriffsrechte auf 
diese definieren. Die einmal gespeicherten Daten verbleiben 
an ihrem Speicherplatz und werden nicht zentralisiert ge- 
sammelt. Ein Zugriff auf solche abgespeicherten Daten ist 
nur mit der Autorisierung des Inhabers der Rechte an diesen 
Daten mbglich. Fiir medizinische Daten bedeutet dies z. B., 
daB sie an dem Ort ihrer ErsteUung verbleiben und daB an- 
dere Arzte nur mit der Erlaubnis des jeweiligen Patienten 
auf diese Daten zugreifen konnen. Eine solche Erlaubnis 
kann allgemein fur bestimmte Arzte oder auch nur fiir den 
Einzelfall erteilt werden. Auch ist es moglich, eine einmal 
erteilte Erlaubnis wieder zu entziehen. 

Bei der Ubertragung der Daten kann auch die vom Inha- 
ber der Zugriffsrechte festgelegte Zweckbindung der Uber- 
mittlung dieser Daten im urspriinglichen Datenkontext zu- 
sammen mit diesen Daten in Form eines elektronischen 
Wasserzeichens ubermittelt werden, und dariiber hinaus 
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konnen die Oaten sichtbar als zweckgebundene Kopie der 
Original daten gekennzeichnet werden. 

Die Erfindung und vorteilhafte Weiterbildung werden 
nachfolgend anhand eines Beispiels unter Bezugnahme auf 
die Zeichnungen naher erlautert. Es zeigen: 5 

Fig. 1 einen beispielhaften Aufbau eines Netzwerks, in 
dem das erfindungsgemaBe Verfahren Anwendung finden 
kann; 

Fig. 2 die Erzeugung und Abspeicherung von Daten nach 
dem erfindungsgemaBen Verfahren; 10 

Fig. 3 ein Beispiel einer erfolglosen Anfrage nach be- 
stimmten Daten; 

Fig. 4 den Abruf und die Erteilung von Zugriffsrechten an 
bestimmten Daten durch den Inhaber der Rechte an diesen 
Daten; 15 

Fig. 5 ein Beispiel einer erfolgreichen Anfrage nach Da- 
ten und ihrer Ubertragung an die anfragende S telle. 

Im folgenden wird das erfindungsgemaBe Verfahren am 
Beispiel eines Praxisnetzes erlautert. Hier dient das System 
zur Versorgung einer Gruppe von Arzten mit den medizini- 20 
schen Unterlagen ihrer Patienten. 

Auf das System konnen mehrere Arzte zugreifen, die je- 
weils einen Zugang auf ein Datenraum-Zugriffssystem ha- 
ben miissen. Neben diesen Datenraum-Zugriffssystemen 
weist das System einen Informationscenter auf. In der Fig. 1 25 
ist dieses System zur Vereinfachung mit lediglich zwei Da- 
tenraum-Zugriffssystemen 1, 2 gezeigt, von denen eins eine 
Kennung DRZS1 und das andere eine Kennung DRZS2 auf- 
weist. Solch ein Datenraum-Zugrirfssystem 1, 2 kann am 
Arbeitsplatz eines oder mehrerer Arzte aufgebaut sein, z. B. 30 
ist in der Fig. 1 gezeigt, daB das Datenraum-Zugriffssystem 
2 in einer Arztpraxis eines Arztes B und das Datenraum-Zu- 
griffssystem 1 einem Krankenhaus aufgebaut sind, in dem 
ein Arzt A eine ZugrirTsberechtigung dafiir besitzt. Jedes 
Datenraum-Zugriffssystem 1, 2 kann iiber ein Netzwerk 4 35 
mit dem Informationscenter 3 oder einem anderen Daten- 
raum-Zugriffssystem 1, 2 kommunizieren. 

Jedes Datenraum-Zugriffssystem 1, 2 enthalt einen siche- 
ren Datenspeicher, in dem die medizini schen Daten von Pa- 
tienten gespeichert werden konnen. Dieser Speicher ist da- 40 
durch zugriffgesichert, daB ein Datenzugriff nur iiber das er- 
findungsgemaBe Verfahren erfolgen kann, wodurch ein Da- 
tenmiBbrauch mit in diesem Speicher gespeicherten Daten 
nicht moglich ist. Weiter ist durch das erfindungsgemaBe 
Verfahren gewahrleistet, daB nur neue Daten gespeichert 45 
werden konnen, also nicht solche, die bereits in einem ande- 
ren Datenraum-Zugriffssystem 1, 2 gespeichert waren. Wei- 
ter konnen sowohl der jeweilige Arzt als auch der Patient 
unabhangig voneinander iiber das Datenraum-Zugriffssy- 
stem 1, 2 mit dem Informauonscenter 3 oder einem anderen 50 
an das Netzwerk 4 angeschlossenen Datenraum-Zugriffssy- 
stem 1, 2 kommunizieren, wobei nur ein Arzt Daten spei- 
chern kann. 

In dem Informationscenter 3 werden Referenzen zu den 
Daten der Patienten und die dazugehdrige Identifizierungs- 55 
information der Patienten und Arzte zentralisiert gespei- 
chert. 

Die Sicherheit der einzelnen Dateniibertragungen inner- 
halb dieses Systems wird iiber eine Verschliisselung der Da- 
teniibertragungen zwischen alien Teilnehmern gewahrlei- 60 
stet. Hierbei wird jede innerhalb des Systems iibertragene 
Information mit einer digitalen Signatur versehen. Bei je- 
dem Zugang wird eine Autorisierung verlangt, und alle Da- 
ten werden in verschlusselter Form Ubertragen und gespei- 
chert. Jeder Teilnehmer, z. B. ein Arzt oder ein Patient, so- 65 
wie das Informationscenter und jedes Datenraum-Zugriffs- 
system verfugen iiber zwei Paare von offentlichen und ge- 
heimen Schlusseln zur Datenkodiening. Ein Paar dieser 


Schlussel, genannt die Verschliisselungsschlussel, wird fur 
die sichere Dateniibertragung verwendet und das andere, 
namlich die Signaturschlussel, versieht die ubertragene In- 
formation und bestatigt dadurch den Absender mit einer di- 
gitalen Signatur. Die geheimen Schlussel sind nur dem je- 
weiligen Teilnehmer, Informationscenter oder Datenraum- 
Zugriffssystem bekannt, wohingegen die offentlichen 
Schlussel alien Teilnehmern zugangiich sind. d. h., daB jeder 
in dem System vorhandene Teilnehmer die Moglichkeit hat, 
einen offentlichen Schlussel jedes anderen Teilnehmers zu 
bekommen. Immer, wenn ein Teilnehmer eine Information 
iiber das Netzwerk versendet, wird das folgende Verfahren 
ausgefuhrt: 

1 . Der Sender versieht die von ihm gesendete Informa- 
tion mit einer digitalen Signatur, indem er seinen gehei- 
men Signaturschlussel verwendet. Hierdurch kann der 
Sender nicht nachgeahmt werden, wobei der Empfan- 
ger eine verwendete digitale Signatur mit Hilfe des of- 
fentlichen Signaturschlussels bestatigen kann. Wenn 
z. B. ein Datenraum-Zugriffssystem die Information 
iiber einen Patienten an das Informationscenter versen- 
det, muB diese Information bei der Erzeugung von Da- 
ten ebenfalls mit dem geheimen Signaturschlussel die- 
ses Patienten versehen sein. Hierdurch wird gesichert, 
daB die Information wirklich zu dem benannten Patien- 
ten gehort, und daB dieser der Ubertragung dieser In- 
formation zustimmt. 

2. Der Sender verschlusselt alle ubertragenen Daten 
mittels eines offentlichen Verschliisselungsschlussels 
des Empfangers, an den die Daten ubertragen werden. 
Hierdurch konnen diese ubertragenen Daten nur unter 
Verwendung des geheimen Verschliisselungsschlussels 
des Empfangers entschlusselt werden. 

3. Immer, wenn ein Teilnehmer auf das System zu- 
greift, muB er autorisiert sein und seine Identitat besta- 
tigt haben. Ein spezieller Datentrager, wie z. B. eine 
Chipkarte, kann zur Uberpriifung der Identitat des Teil- 
nehmers dienen. Natiirlich konnen auch andere Verfah- 
ren zur Personenidentifizierung eingesetzt werden, wie 
z. B. die Spracherkennung, die Bilderkennung, die Er- 
kennung von Fingerabdriicken etc., von denen jedes 
einzeln oder in Kombi nation eingesetzt werden kann. 


Als sicherer Speicher fur die geheimen Schlussel eines 
Teilnehmers und andere personliche Information kann eben- 
falls ein spezieller Datentrager, wie z. B. eine Chipkarte, 
eingesetzt werden. 

Die offentlichen Schlussel der Teilnehmer, des Informati- 
onscenter 3 und der einzelnen Datenraum-Zugriffssysteme 
1, 2 konnen z. B. zenjtral in dem Informationscenter 3 ge- 
speichert sein. * 

Die Fig. 2 zeigt die Erzeugung von Daten eines Patienten 
und den Vorgang, wie diese Daten im System zur Verfiigung 
gestellt werden. 

Z. B. sucht der Patient N an einem Tag X den Arzt A auf 
und laSt eine neue medizinische Dateneinheit, z. B. ein 
Rontgenbild, erstellen. Wenn es der Patient N wiinscht, kann 
diese Dateneinheit iiber das Praxisnetz anderen Arzten zur 
Verfugung gestellt werden. In diesem Fall werden die zu 
speichemden Daten des Rontgenbildes in einem ersten. 
Schritt SI in einer elektronischen Form zusammen mit ei- 
nem elektronischen Formular, welches den Typ der Daten 
enthalt, in dem Datenraum-Zugriffssystem 1 mit der Ken- 
nung DRZS1 des Arztes A gespeichert. Der Typ der Daten 
besteht hier in der Angabe, daB es sich um ein Rontgenbild 
des Patienten N handelt, das der Arzt A am Tag X aufge- 
nommen hat. Es ist auch moglich, daB der Typ der Daten le- 
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diglich aus einer dieser Angaben besteht, oder daB noch 
weitere Angaben hinzugefugt werden, wie z. B. die Ken- 
nung DRZS1 des die Daten speichernden Datenraum-Zu- 
griffssy stems 1. Die Daten des Rontgenbildes werden zu- 
sammen mil dem elektronischen Formular in dem gesicher- 
ten Datenspeicher des Datenraum-ZugrifiFssystems 1 gespei- 
chert. Das Speichern von Daten ist nur bei einer Autorisie- 
rung des Inhabers der Rechte an diesen Daten moglich, 
hierzu kann z. B. die Chipkarte des Patienten dienen. 

In einem zweiten Schritt S2 wird das Informationscenter 
3 von dem Datenraum-Zugriffssystern 1 benachrichtigt, daB 
es neue Daten aufweist, namlich ein Rontgenbild des Patien- 
ten N. Eine solche Benachrichtigung kann entweder unmit- 
telbar nach der Speicherung der neuen Daten oder zu einem 
bestimmten Zeitpunkt geschehen, z. B. regelmaBig zu einer 
bestimmten Uhrzeit. Natiirlich ist es auch moglich, daB das 
Informationscenter 3 zu bestimmten Zeitpunkten Anfragen 
an jedes Datenraum-Zugriffssy stern 1, 2 schickt, ob neue 
Daten gespei chert wurden. 

In einem dritten Schritt S3 registriert das Information- 
scenter 3 das Vorhandensein des Rbntgenbilds des Patienten 
N vom Tag X mit der Verfugbarkeit im Datenraum-Zugriffs- 
systern 1 und weist diesen Daten eine nur einfach vorhan- 
dene Identifizierung zu, z. B. NXAX, wonach diese Idenufi- 
zierung mit einer benachrichtigenden Bestatigung vom In- 
formationscenter 3 an das Datenraum-ZugrifTssystem 1 
ubertragen wird. Im Datenraum-Zugriffssy stem 1 wird die 
so zugewiesene Identifizierung zur Verwaltung der zugeho- 
rigen Daten verwendet, indem diese zu den Daten hinzuge- 
fugt wird. Uber eine entsprechende Konfiguration kann ge- 
wahrleistet werden, daB Daten nicht mehrfach im System 
vorhanden sind. Spatestens mit der Registrierung der Daten 
durch das Informationscenter 3 erfolgt hier eine Uberprii- 
fung der Autorisierung der Datenspeicherung durch den Pa- 
tienten. Im Falle der Nichtautorisierung werden keinem 
Teilnehmer Zugriffsrechte auf diese Daten gewahrt. 

In der Fig. 2, wie auch in den nachfolgenden Figuren be- 
deutet der hohle Pfeil eine Ubertragung von Daten in das 
Systen, daB heiBt die Speicherung neuer Daten in einem Da- 
tenraum-Zugriffssystem 1, 2, und die normalen Pfeile je- 
weils eine Kommunikation uber das Netzwerk 4, wie z. B. 
eine Anfrage oder Benachrichtigungen. Es kann also an hand 
der Fig- 2 erkannt werden, daB in dem beschriebenen Sy- 
stem die medizinischen Daten nicht in das Informationscen- 
ter 3 kopiert werden, sondern nach ihrer Speicherung immer 
im Datenraum-Zugriffssystern 1 verbleiben. Das Informati- 
onscenter 3 halt nur die Referenzen zu diesen Daten und nie- 
mals die Daten selbst. Weiter wird in den Figuren eine Da- 
teniibertragung uber das Netzwerk 4 mittels neben normalen 
Pfeilen dargestellten Rechtecken angezeigt, in denen die je- 
weils iibertragenen Daten angegeben sind. 

Die Fig. 3 zeigt den Versuch eines Datenzugriffs uber das 
Praxisnetz. 

An einem Tag Y besucht der Patient N einen Arzt B, der 
ein Datenraum-Zugriffssystern 2 mit der Kennung DRZS2 
besitzt. Dieser Arzt B benotigt z. B. ein aktuelles Rontgen- 
bild des Patienten N. Deshalb schickt er in einem Schritt S4 
von seinem Datenraum-Zugriffssystern 2 eine Anfrage nach 
Rontgenbildern des Patienten N an das Informationscenter 
3. Das Informationscenter 3 erstellt eine Liste der Referen- 
zen zu alien RSntgenbildern des Patienten N, die zur Zeit im 
Gesamtsystem vorhanden sind, d. h. in alien angeschlosse- 
nen Datenraum-Zugriffssy stemen 1, 2 gespeichert sind und 
vom Informationscenter 3 registriert wurden. AnschlieBend 
uberpruft das Informationscenter 3 die Zugriffsrechte an den 
in dieser Liste aufgefuhrten Daten hinsichtlich des Arztes B, 
von dem die Anfrage uber Rontgenbilder des Patienten N 
kam, und ubertragt in einem Schritt S5 lediglich die Refe- 
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renzen der Rontgenbilder des Patienten N, auf die der Arzt B 
die Zugriffsrechte vom Pateienten N, der in diesem Fall der 
Inhaber der Rechte an seinen Daten ist, erteilt bekommen 
hat. Da in diesem Fall z. B. von dem Patienten N noch keine 
Zugriffsrechte fur seine Rontgenbilder definiert wurden, ist 
diese Liste leer. Deshalb sendet das Informationscenter 3 
eine Nachricht "Keine Daten gefunden" an das Datenraum- 
Zugriffssystern 2. Dieses gibt diese Nachricht an den Arzt B 
aus. 

Demnach kann ohne Zugriffsrechte des Patienten, der der 
Inhaber der Rechte an den gespeicherten Daten ist, kein Arzt 
das Vorhandensein der Daten im System erkennen. Eine 
Durchbrechung dieses fur bestimmte Daten, fur die im ein- 
zelnen Zugriffsrechte definiert wurden, sicheren Systems ist 
nur moglich, wenn der Patient Nz.B. allgemeine Zugriffs- 
rechte auf seine gesamten Daten oder auf bestimmte Daten 
im voraus an bestimmte Arzte gegeben hat. Auch in diesem 
Fall hat aber der Patient selbst bestimmt, wer auf seine Da- 
ten zugreifen kann, also wurden auch hier seine Daten- 
schutzrechte gewahrt. 

Die Fig. 4 stellt die Definition von Zugriffsrechten des 
Patienten in dem Informationscenter 3 dar. 

Der Patient N kann in einem Schritt S6 z. B. iiber das Da- 
tenraum-Zugriffssy stem 2 eine Liste aller seiner zur Zeit im 
Gesamtsystem zur Verfugung stehenden Daten vom Infor- 
mationscenter 3 abrufen. Alternativ kann er auch nur eine 
Liste von bestimmten Daten abrufen. In einem Schritt S7 
verarbeitet das Informationscenter diese Anfrage und sendet 
die jeweils geforderte Liste an das Datenraum-Zugriffssy- 
stern 2. Der Patient N kann jetzt Zugriffsrechte an den durch 
die Liste aufgezeigten Daten definieren. Hat er z. B. eine Li- 
ste aller seiner Rontgenbilder angefordert, so kann er defi- 
nieren, daB der Arzt B und/oder jeder andere Arzt oder eine 
bestimmte Gruppe von Arzten auf das am Tag X vom Arzt A 
gefertigte Rontgenbild mit der Identifizierung NXAX zu- 
greifen kann. Ein solches Zugriffsrecht kann zeitlich be- 
grenzt oder unbegrenzt sein. Das Zugriffsrecht kann auch im 
voraus fur andere in der Zukunft zur Verfugung stehende 
Daten vergeben werden. Hat der Patient N alle gewiinschten 
Zugriffsrechte definiert, so kann er in einem Schritt S8 uber 
das Datenraum-Zugriffssystern 2 eine Aktualisierung der 
Zugriffsrechte im Inforamationscenter 3 bewirken. Das In- 
formationscenter 3 speichert in einem Schritt S9 die Ande- 
rungen und sendet eine Bestatigung zuriick an das Daten- 
raum-Zugriffssystern 2. 

Diese Zugriffsrechte konnen alternativ auch zu dem Zeit- 
punkt vergeben werden, zu dem neue Daten in einem Daten- 
raum-Zugriffssystern 1, 2 gespeichert werden. Ein Patient 
oder sonstiger Inhaber von Rechten an in einem Datenraum- 
Zugriffssystern 1, 2 * gespeicherten Daten kann Zugriffs- 
rechte von jedem beliebigen Datenraum-Zugriffssystern 1, 2 
aus vergeben. Denkriar ware es z. B., daB solche Daten- 
raum-Zugriffssysteme 1, 2 neben ihrem Standort in Arztpra- 
xen oder Krankenhausern auch in Apotheken aufgestellt 
werden, oder daB auf ein Praxisnetz auch Uber das Internet 
zugegriffeh werden kann, wodurch jeder internetfahige 
Computer zu einem Datenraum-Zugriffssystem oder zumin- 
dest zu einem Zugriffssystem werden konnte, welches kei- 
nen Speicherplatz zur Verfugung stellt. Der Inhaber der 
Rechte an in einem Datenraum-Zugriffssystem 1, 2 gespei- 
cherten Daten, hier also der Patient, ist aufgrund seiner Au- 
torisierung und Identifikation die einzige Person, der die Zu- 
griffsrechte vom Informationscenter 3 angezeigt werden 
und/oder die sie im Informationscenter 3 modifizieTen kann. 

Die Fig. 5 zeigt den fur einen erfolgreichen Zugriff auf 
bestimmte Daten notigen Ablauf. 

Nach der Definition der Zugriffsrechte an den am Tag X 
vom Arzt A aufgenommenen Rontgenbild des Patienten N 
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mit der Identifizierung NXAX fur den Arzt B durch den Pa- 
lienten N startet der Arzt B in einem Schritt S 1 0 eine erneute 
Anfrage an das Informationscenter, alle Referenzen zu den 
Rdntgenbildern des Patienten N anzugeben. In einem Schritt 
Sll stellt das Informationscenter eine Liste der Referenzen 5 
aller zur Zeit in alien Datenraum-Zugriffssystemen vorhan- 
denen Rontgenbilder des Patienten N zusammen, uberpriift 
die Zugriffsberechtigungen hinsichtlich des anfragenden 
Arztes B und wahlt lediglich die Rontgenbilder aus, auf die 
der Arzt B zugreifeh darf, urn die zugehorigen Referenzen 10 
an das Datenraum-Zugriffssystem 2 zu ubertragen, von dem 
aus der Arzt B die Anfrage an das Informationscenter ausge- 
fiihrt hat. In diesem Fall wird z. B. nur die Identifizierung 
NXAX des am Tag X vom Arzt A erstellten Rontgenbildes 
des Patienten N zusammen mit dem Speicherort/der 15 
Adresse, hier das Datenraum-Zugriffssystem 1 mit der Ken- 
nung DRZS1, an das Datenraum-Zugriffssystem 2 ubertra- 
gen, welches dem Arzt B diese Information anzeigt. Der 
Arzt B kann also nur die Referenzen zu Daten sehen, auf die 
der Patient N dem Arzt B Zugriffsrechte gewahrt hat. Die 20 
Referenzen konnen z. B. die Art der Daten, hier Rontgen- 
bild, das Datum der Untersuchung, hier den Tag X, den un- 
tersuchenden Arzt, hier den Arzt A, den Speicherort der Da- 
ten, hier das Datenraum-Zugriffssystem 1 mit der Kennung 
DRZS1, oder auch noch weitere Daten enthaiten. In einem 25 
Schritt S12 wahlt der Arzt B das Rontgenbild mit der Iden- 
tifizierung NXAX aus, woraufhin das Datenraum-Zugriffs- 
system 2 eine Anfrage des Arztes B uber das Rontgenbild 
mit der Identifizierung NXAX an das Datenraum-Zugriffs- 
system mit der Kennung DRZS1, hier das Datenraum-Zu- 30 
griffssystem 1 sendet. In einem Schritt S13 sendet das Da- 
tenraum-Zugriffssystem 1 daraufhin eine Anfrage an das In- 
formationscenter 3, urn zu bestatigen, daB der Arzt B die Zu- 
griffsrechte auf das Rontgenbild mit der Identifizierung 
NXAX besitzt. Das Informationscenter 3 antwortet in einem 35 
Schritt S 14 mit einer Bestatigung, woraufhin das Daten- 
raum-Zugriffssystem 1 in einem Schritt S 15 die Daten des 
Rontgenbildes mit der Identifizierung NXAX an das Daten- 
raum-Zugriffssystem 2 ubertragt. Dieses stellt die empfan- 
genen Daten des Rontgenbildes in akzeptabler Form dar 40 
und/oder laBt den Arzt B die Daten zur weiteren Verarbei- 
tung speichem, wobei eine solche Speicherung nicht in dem 
sicheren Speicher des Datenraum-Zugriffssystems 2, son- 
dern auf einem anderen Speichermedium erfolgen muB, 
denn sonst waren die Daten mehrfach im System vorhanden. 45 

Hat eine berechtigte Person die empfangenen Daten ein- 
mal fiir die weitere Verarbeitung gespeichert, so kann sie na- 
turlich immer wieder auf diese gespeicherten Daten zugrei- 
fen. Ein Zugriff uber das Praxisnetz ist jedoch nur solange 
moglich, wie es der Inhaber der Rechte an diesen Daten uber 50 
die Definition der Zugriffsrechte erlaubt. 

Da also nach dem erfindungsgemaBen Verfahren ein Spei- 
chem von bestimmten Daten nur mit der Zustimmung des 
Inhabers der Rechte an diesen Daten moglich ist und auch 
ein Abrufen solcher Daten nur mit Zustimmung des Inha- 55 
bers der Rechte an diesen Daten moglich ist, werden die Per- 
sonlichkeitsrechte z. B. eines Padenten gewahrt. Das Sy- 
stem arbeitet fur jeglichen Benutzer vollkommen transpa- 
rent, wobei der einzelne Benutzer keine Kenntnisse iiber die 
Sicherheits- oder Ubertragungsverfahren haben muB. Durch 60 
die Verschlusselung der gesendeten Daten konnen unbe- 
rechtigte Personen nicht "mithoren" und durch die Defini- 
tion von bestimmten Zugriffsrechten fiir bestimmte Daten 
durch den Inhaber der Rechte an ihnen konnen keine unbe- 
rechtigten Datenzugriffe geschehen. 65 

Das erfindungsgemaBe Verfahren zum abgesicherten Zu- 
griff auf Daten in einem Netzwerk kann naturlich auch auf 
andere nicht-medizinische Netzwerke angewandt werden, 
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da hier em System zur Steuerung der Verteiiung individuel- 
ler Daten vorgeschlagen ist. En anderer Anwendungsbe- 
reich ist z; B. die Verteiiung von Personendaten zu ihrer 
Identifikation, wodurch die Obertragung dieser Daten z. B. 
zwischen unterschiedlichen Verwaltungsbehbrden ohne eine 
zentralisierte Datenbank der einzelnen Biirger flexibler ge- 
staltet werden kann. Durch das erfindungsgemaBe System 
hat der nur betroffene Burger selbst und allein die Verfu- 
gungsgewalt uber seine individuellen Daten. 

Patentanspriiche 

1- Verfahren zum abgesicherten Zugriff auf Daten in 
einem Netzwerk mit einem Informationscenter (3) und 
mehreren Datenraum-Zugriffssystemen (1, 2), bei dem 
allein ein Inhaber von Rechten an zu speichemden Da- 
ten das Speichem dieser Daten erlauben und die Zu- 
griffsrechte Dritter auf diese Daten in dem Informati- 
onscenter (3) definieren kann, dadurch gekennzeich- 
net, daB 

- die Daten jeweils nur einmal in einem der dem 
Inhaber der Rechte nicht zuganglichen Daten- 
raum-Zugriffssysteme (1, 2) gespeichert werden, 

- das Informationscenter (3) das Vorhandensein 
von Daten eines bestimmten Typs in jedem Daten- 
raum-Zugriffssystem (1) registriert, wonach,der 
Inhaber der Rechte an den gespeicherten Daten in 
dem Informationscenter (3) Zugriffsrechte Dritter 
auf die Daten zu definieren vermag, 

- das Informationscenter (3) nach einer Anfrage 
eines anfragenden Datenraum-Zugriffssystems 
(2) nach Daten eines bestimmten Typs eine Liste 
der vorhandenen Daten dieses bestimmten Typs 
unter Angabe des diese Daten jeweils speichem- 
den Datenraum-Zugriffssystems (1) an das anfra- 
gende Datenraum-Zugriffssystems (2) ubertragt, 
fur die die Zugriffsrechte des anfragenden Daten- 
raum-Zugriffssystems (2) zu den im Information- 
scenter (3) fur diese Daten definierten Zugriffs- 
rechten korrespondieren, und 

- die Daten des bestimmten Typs von dem diese 
Daten speichemden Datenraum-Zugriffssystem 
(1) direkt nur an das anfragende Datenraum-Zu- 
griffssystem (2) ubertragen werden, wenn das 
diese Daten speichernde Datenraum-Zugriffssy- 
stem (1) von dem Informationscenter (3) eine Be- 
statigung erhalten hat. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB eine Autorisierung der Speicherung von Daten 
und der Definition der Zugriffsrechte Dritter an den 
Daten uber eine Identitatsprufung des Inhabers der 
Rechte an den Oaten erfolgt. - 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB zu speichernde Daten zusammen mit ei- 
nem elektronischen Formular, welches den Typ der Da- 
ten enthalt, in dem Datenraum-Zugriffssystem (1) ge- 
speichert werden. 

4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichnet, daB von einem Daten speichem- 
den Datenraum-Zugriffssystem (1) bei einer Anfrage 
nach bestimmten Daten eines bestimmten Typs eines 
anfragenden Datenraum-Zugriffssystems (2) eine 
Uberprufung der Zugriffsrechte durch eine Anfrage an 
das Informationscenter (3) erfolgt, ob das anfragende 
Datenraum-Zugriffssystem auf die bestimmten Daten 
eines bestimmten Typs Zugriffsrechte hat. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB ein besdmmte Daten eines 
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bestimmten Typs empfangendes Datenraum-Zugriffs- 
system (2) nur direkl nach einem jeweiligen Daten- 
empfang einen ZugrifF auf die empfangenen Daten er- 
laubt. 

6. Verfahren nach einem der Anspriiche 1 bis 5, da- 5 
durch gekennzeichnet, dafi von einem bestimmte Daten 
eines bestimmten Typs selbst speichernden Daten- 
raum-Zugriffssystem (1) ein ZugrifF auf die bestimm- 
ten Daten eines bestimmten Typs nur gewahrt wird, 
wenn eine positive Uberpriifung der ZugrifFsrechte 10 
durch eine Anfrage an das Informationscenter (3) er- 
folgt ist, ob das die bestimmten Daten eines bestimm- 
ten Typs selbst speichernde Datenraum-ZugrifFssystem 
(1) fur die bestimmten Daten eines bestimmten Typs 
Zugriffsrechte vorweisen kann. 15 

7. Verfahren nach einem der Anspriiche 1 bis 6, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
von einem neue Daten aufweisenden Datenraum-Zu- 
griffssystem (1) iiber das Vorhandensein neuer Daten 
eines bestimmten Typs benachrichtigt wird, woraufhin 20 
das Informationscenter (3) eine benachrichtigende Be- 
statigung an das betreffende Datenraum-Zugriffssy- 
stem (1) sendet. 

8. Verfahren nach einem der Anspriiche 1 bis 7, da- 
durch gekennzeichnet, daB die Daten anhand einer vom 25 
Informationscenter (3) zugewiesenen nur einfach vor- 
handenen Identifizierung identifiziert werden, die von 
dem Informationscenter (3) nach einer Registrierung 
von neuen Daten an das diese Daten speichernde Da- 
tenraurn-Zugriffssy stern (1) iibertragen wird, damit 30 
dieses die jeweilige Identifizierung an die jeweiligen 
Daten anhangt. 

9. Verfahren nach einem der Anspriiche 1 bis 8, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
nach einer Anfrage iiber Daten eines bestimmten Typs 35 
von einem Datenraum-Zugriffssystem (2) eine Liste al- 
ter vorhandenen Daten dieses bestimmten Typs erstellt, 
bevor es die Zugriffsrechte auf die Daten des bestimm- 
ten Typs iiberpriift, um die Liste der vorhandenen Da- 
ten dieses bestimmten Typs unter Angabe des diese Da- 40 
ten jeweils speichernden Datenraum-ZugrifJssy stems 
(1) an das anfragende Datenraum-Zugriffssystem (2) 

zu iibertragen, fiir die das anfragende Datenraum-Zu- 
grifFssystem (2) die Zugriffsrechte vorweisen kann. 

10. Verfahren nach einem der Anspriiche 1 bis 9, da- 45 
durch gekennzeichnet, daB bei einem gewiinschten Da- 
tenzu griff von einem Datenraum-Zugriffssystem (1) 
auf Daten eines bestimmten Typs zunachst eine An- 
frage nach solchen Daten des bestimmten Typs an das 
Informationscenter (3) geschickt wird. 50 

11. Verfahren nach einem der Anspriiche 1 bis 10, da- 
durch gekennzeichnet, daB bei einer gewiinschten Da- 
tenubertragung von einem Daten speichernden Daten- 
raum-Zugriffssystem (1) an ein anfragendes Daten- 
raum-Zugriffssystem (2) von diesem zunachst eine An- 55 
firage nach bestimmten Daten eines bestimmten Typs 

an das diese bestimmten Daten eines bestimmten Typs 
speichernde Datenraum-Zugriffssystem (1) geschickt 
wird. 

12. Verfahren nach einem der Anspriiche 1 bis 11, da- 60 
durch gekennzeichnet, daB die Daten in einem Daten- 
raum-Zugriffssystem (1, 2) in einem sicheren Daten- 
speicher gespeichert werden, wobei auf die darin ge- 
speicherten Daten kein direkter ZugrifF moglich ist. 

13. Verfahren nach einem der Anspriiche 1 bis 12, da- 65 
durch gekennzeichnet, daB der Typ der Daten durch ih- 
ren Inhalt und/oder den Inhaber der Rechte an den Da- 
ten bestimmt wird. 
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14. Verfahren nach einem der Anspriiche 1 bis 13, da- 
durch gekennzeichnet, daB die ZugrifFsrechte an ge- 
speicherten Daten durch den Inhaber der Rechte an den 
Daten zu einem beliebigen Zeitpunkt nach ihrer Regi- 
strierung in dem Informationscenter (3) definiert wer- 
den konnen und danach durch eine Neudefinition von 
dem Inhaber der Rechte an den Daten beliebig wieder 
geandert werden konnen. 

15. Verfahren nach einem der Anspriiche 1 bis 14, da- 
durch gekennzeichnet, daB die Zugriffsrechte an ge- 
speicherten Daten durch den Inhaber der Rechte an den 
Daten mit ihrer Speicherung in einem Datenraum-Zu- 
griffssystem (1, 2) vergeben werden konnen. 

16. Verfahren nach einem der Anspriiche 1 bis 15, da- 
durch gekennzeichnet, daB die Kommunikation zwi- 
schen einem Datenraum-Zugriffssystem (1, 2) und dem 
Informationscenter (3) oder einem anderen Daten- 
raum-Zugriffssystem (2, 1) verschliisselt erfolgt. 

17. Verfahren nach Anspruch 16, dadurch gekenn- 
zeichnet, daB ein Sender die von ihm gesendete Infor- 
mation mittels einem geheimen Signaturschlussels mit 
einer digitalen Signatur versieht, wodurch ein Empfan- 
ger die gesendete Information mittels eines dazugeho- 
renden offentlichen Signaturschlussels uberpriifen 
kann. 

18. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, daB der Sender alle iibertragenen Daten. rnit- 
tels eines vom Empfanger ausgegebenen offentlichen 
Verschlusselungsschliissel kodiert, wodurch nur der 
Empfanger die iibertragenen Daten mittels eines gehei- 
men Verschliisselungsschlussels dekodieren kann. 

19. Verfahren nach einem der Anspriiche 16 bis 18, 
dadurch gekennzeichnet, daB sowohl jedes Datenraum- 
Zugriffssystem (1, 2) und das Informationscenter (3) 
als auch jeder Teilnehmer je einen geheimen und je ei- 
nen offentlichen Signaturschliissel und Verschlussel- 
ungsschliissel aufweisen. 

20. Verfahren nach Anspruch 19, dadurch gekenn- 
zeichnet, dafi die geheimen Signaturschliissel und Ver- 
schlusselungsschliissel und/oder offentlichen Signatur- 
schliissel und Verschlusselungsschliissel eines Teilneh- 
mers auf einem Datentrager, wie z. B . einer Chipkarte, 
gespeichert sind. 

,21. Verfahren nach einem der Anspriiche 1 bis 20, da- 
durch gekennzeichnet, daB sich ein auf das Netzwerk 
zugrei fender Teilnehmer autorisieren muB und seine 
Identitat vom Informationscenter iiberpriift wird. 

22. Verfahren nach Anspruch 21, dadurch gekenn- 
zeichnet, daB die Identitat eines Teilnehmers auf einem 
Datentrager, wie z. B. einer Chipkarte, gespeichert ist. 

23. Verfahren. nach einem der Anspriiche 1 bis 22, da- 
durch gekennzeichnet, daB die Erlaubnis der Speiche- 
rung der Daten durch den Inhaber der Rechte an den 
Daten spatestens bei einer Registrierung der Daten in 
dem Informationscenter (3) erfolgt, wobei das Infor- 
mationscenter (3) ohne korrekte Autorisiening keinen 
spateren Datenzugriff auf diese Daten erlaubt. 
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